思科5505配置详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
***nat (inside) 0 192.168.1.1 255.255.255.255表示192.168.1.1这个地址不需要转换。直接转发出去。
*如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.
static (in side, outside) 222.240.254.194 192.168.1.240
nat命令配置语法:n at (if_ name) n at_id local_ip [n etmark]
必要的漏洞)
ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在
7版本已经不能用了。
Access-list101permit tcp any host 222.240.254.194 eq 101 in in terface outside (绑定到接口)
1、定义外口
in terface Ethernet。/。进入端口nameif outside定义端口为外口security-level0定义安全等级为0no shut激活端口
ip address .X驱>255.255.255.248设置IP
2、定义内口
in terface Ethernet0/1
n ameif in side定义端口为内
或
global (outside) 1 in terface当ISP只分配给一个IP是,直接使用分配给外口的IP地址。
5、设置默认路由
route outside0 0218.17.148.14指定下一条为IPS指定的网关地址
查看NAT转换情况
show xlate
:6个基本命令:n ameif、in terface、ip address、n at、global、route。
ip address dmz 192.168.200.1 255.255.255.0
step4:地址转换(必须)
*安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
nat( in side) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
in terface ether netO 1Ofull auto
in terface ether net1 10full auto
in terface ethernet2 10full
step3:配置接口地址
ip address outside 218.106.185.82
ip address in side 192.168.100.1 255.255.255.0
Cisco ASA 5505
(2011-06-10 09:46:21)
标签: 分类:IT
it
在配ASA5505时用到的命令
2009-11-2222:49
nat-control命令
在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是
不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由
reload
要想配置思科的防火墙得先了解这些命令:
常用命令有:n ameif、in terface、ip address、n at、global、route、static等。global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_ name) n at_id ip_address-ip_address [n etmark global_mask]
Step5:路由定义:
Route outside0 0222.240.254.1931
Route in side 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
Step6:基础配置完成,保存配置。
Write memory write erase清空配置
static (in side, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000为限制连接数,10为限制的半开连接数。
con duit permit tcp host 222.240.254.194 eq
conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不
:基本配置步骤:
stepl:命名接口名字
nameif ethernet0 outside security。
n ameif ethernetl in side securitylOO
n ameif ether net2 dmz security50
"7版本的配置是先进入接口再命名。
step2:配置接口速率
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
Hale Waihona Puke ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候, 这个
规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control
是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由
器一样,启用NAT开关后内外网就必须通过NAT转换才能通信
security-level 100定义端口安去昂等级为100
no shut
ip address 192.168.1.1 255.255.255.0
3、定义内部NAT范围。
nat (inside) 1 0.0.0.0 0.0.0.0任何IP都可以NAT,可以自由设置范围。
4、定义外网地址池
global (outside)110.21.67.10-10.21.67.14 netmask 255.255.255.240
*如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.
static (in side, outside) 222.240.254.194 192.168.1.240
nat命令配置语法:n at (if_ name) n at_id local_ip [n etmark]
必要的漏洞)
ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在
7版本已经不能用了。
Access-list101permit tcp any host 222.240.254.194 eq 101 in in terface outside (绑定到接口)
1、定义外口
in terface Ethernet。/。进入端口nameif outside定义端口为外口security-level0定义安全等级为0no shut激活端口
ip address .X驱>255.255.255.248设置IP
2、定义内口
in terface Ethernet0/1
n ameif in side定义端口为内
或
global (outside) 1 in terface当ISP只分配给一个IP是,直接使用分配给外口的IP地址。
5、设置默认路由
route outside0 0218.17.148.14指定下一条为IPS指定的网关地址
查看NAT转换情况
show xlate
:6个基本命令:n ameif、in terface、ip address、n at、global、route。
ip address dmz 192.168.200.1 255.255.255.0
step4:地址转换(必须)
*安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
nat( in side) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
in terface ether netO 1Ofull auto
in terface ether net1 10full auto
in terface ethernet2 10full
step3:配置接口地址
ip address outside 218.106.185.82
ip address in side 192.168.100.1 255.255.255.0
Cisco ASA 5505
(2011-06-10 09:46:21)
标签: 分类:IT
it
在配ASA5505时用到的命令
2009-11-2222:49
nat-control命令
在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是
不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由
reload
要想配置思科的防火墙得先了解这些命令:
常用命令有:n ameif、in terface、ip address、n at、global、route、static等。global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_ name) n at_id ip_address-ip_address [n etmark global_mask]
Step5:路由定义:
Route outside0 0222.240.254.1931
Route in side 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
Step6:基础配置完成,保存配置。
Write memory write erase清空配置
static (in side, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000为限制连接数,10为限制的半开连接数。
con duit permit tcp host 222.240.254.194 eq
conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不
:基本配置步骤:
stepl:命名接口名字
nameif ethernet0 outside security。
n ameif ethernetl in side securitylOO
n ameif ether net2 dmz security50
"7版本的配置是先进入接口再命名。
step2:配置接口速率
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
Hale Waihona Puke ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候, 这个
规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control
是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由
器一样,启用NAT开关后内外网就必须通过NAT转换才能通信
security-level 100定义端口安去昂等级为100
no shut
ip address 192.168.1.1 255.255.255.0
3、定义内部NAT范围。
nat (inside) 1 0.0.0.0 0.0.0.0任何IP都可以NAT,可以自由设置范围。
4、定义外网地址池
global (outside)110.21.67.10-10.21.67.14 netmask 255.255.255.240